Het gaat om een niet nader gespecificeerd lek waardoor er via kwaadaardige code op een website stiekem malware op Android kan worden geïnstalleerd. De kwetsbaarheid is ontdekt door Charlie Miller, van securitygroep Independent Security Evaluators, die eerder dit jaar faam verwierf door binnen twee minuten de MacBook Air te kraken.

Patch onderweg

De eerste mobiel die op Android draait, de G1, ligt sinds afgelopen woensdag in de Amerikaanse winkels en komt begin 2009 naar Nederland. Google is op de hoogte van het lek en zou de vrij verkrijgbare broncode van Android inmiddels hebben gepatcht en een oplossing verspreiden aan de zijn 'G1-partners' T-Mobile en HTC.

Het internetbedrijf laat weten dat Android veiliger is dan andere besturingssystemen omdat alle processen en applicaties gescheiden van elkaar draaien, geïsoleerd in een virtuele zandbak. "We wilden elke aparte applicatie in een zandbak plaatsen, want je kunt ze geen van alle vertrouwen", vertelt Rich Cannings, security-ontwikkelaar bij Google, tegenover de New York Times.

Malware ín browserzandbak

Maar volgens Miller heeft Google iets over het hoofd gezien en kan bijvoorbeeld nu een clandestiene keylogger draaien ín dezelfde zandbak als de browser, waardoor online ingevoerde wachtwoorden toch onderschept kunnen worden. Hij wilde geen verdere details bekend maken maar vond wel 'dat het publiek het recht had te weten dat Android tekortkomingen heeft'.